安基网 首页 资讯 安全报 查看内容

新版本Gustuff银行木马来袭,兼具更多恶意功能

2019-11-5 09:31| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Gustuff,一种安卓银行木马。今年4月份,思科Talos团队首次对其进行了公开披露。不久之后,其背后的操控者就切换了分发主机,并禁用了命令和控制(C2)基础设施,仅保留了基于SMS短信的通信通道。如今,Gustuff银行木马再次出现,并且拥有了新的功能。与之前的版本相比,新版本不再包含硬编码的应用程 ...
Gustuff,一种安卓银行木马。

今年4月份,思科Talos团队首次对其进行了公开披露。不久之后,其背后的操控者就切换了分发主机,并禁用了命令和控制(C2)基础设施,仅保留了基于SMS短信的通信通道。

如今,Gustuff银行木马再次出现,并且拥有了新的功能。与之前的版本相比,新版本不再包含硬编码的应用程序包名,这大大降低了静态内存占用。在性能方面,一个基于JavaScript脚本为操控者提供了使用内部命令执行脚本的能力。

新版本的Gustuff与另一种已活跃多年的银行木马Marcher存在很多相似之处,尤其是在感染目标设备后的后续操作方面。

需要说明的是,Gustuff目前仍主要通过恶意SMS短信来感染用户,且主要针对的仍是澳大利亚的用户。

活动分析

如上所述,在思科Talos团队首次公开披露了Gustuff之后,其背后的操控者就切换了他们部署的重定向,直到它们都被列入了黑名单后才最终禁用了C2。

6月份,思科Talos检测到了新的Gustuff活动,木马本身没有太大变化,主要是传播媒介从Facebook切换为了Instagram。

图1.6月份域名点击情况

10月份,新版本的Gustuff到来。与之前版本一样,受感染设备仍会被用于发送恶意SMS短信,目的是感染更多的设备。

分析表明,受感染设备几乎都会以每小时300条的速率发送恶意SMS短信。

图2.10月份域名点击量

与之前版本不同的是,新版本Gustuff的目标应用程序列表不仅仅包含网银APP和加密货币钱包APP,而且还新增了一些招聘APP。

图3.目标应用程序列表

新版本Gustuff的功能之一,是动态加载Web视图。它可以根据接收到的命令创建针对特定域的Web视图,同时从远程服务器获取必要的注入代码。

图4.请求与结果

在分析的过程中,思科Talos团队所分析的Gustuff样本就收到了来自C2的命令,注入目标是澳大利亚政府的一个门户网站,该门户网站主要负责提供税收和社会保障等多种公共服务。

这似乎表明,Gustuff背后的操控者如今对澳大利亚政府官方网站上的凭证也产生了兴趣。

技术分析

新版本Gustuff的变化之一,是跨安装的状态持久性。

图5.ID文件

在执行中,新版本Gustuff会尝试在外部存储中创建一个名为“uu.dd”的文件。如果文件已经存在,则读取存储在其中的UUID值,该值将用作C2的ID。在这种情况下,它会立即接收来自C2的命令。

另一个变化是,新版本Gustuff不再包含硬编码的目标应用程序列表,而是使用命令“checkApps”来接收列表。

图6.“checkApps”命令

此外,反杀毒软件列表如今也通过一个命令来接收。

图7.被屏蔽的部分APP示例

这些变化表明,Gustuff背后的操控者似乎想要通过删除硬编码列表来降低静态内存占用。

图8.命令和结果

与之前版本一样,新版本的Gustuff也会要求用户更新他们的信用卡信息。不同之处在于,它不会立即显示一个供用户填写信息的面板,而是等待用户执行此操作,并利用Android Accessibility API来获取。

虽然这种方法耗时可能会更长,但却不那么容易引起怀疑,从而能够增加成功的机率。

通信协议由一个二级命令执行控制,每个命令都带有一个唯一ID,然后由Gustuff使用该ID报告命令执行状态。

图9.命令执行控制

通过这些更改,Gustuff背后的操控者可以更好地控制木马,同时减少其占用空间。

新版本Gustuff的最大变化是与受感染设备的交互方式——与socks服务器/代理相关的命令以及与操作相关的代码,均已被删除。

如今,使用命令“interactive”,攻击者便能够访问受感染设备并在目标APP上进行操作;使用命令“script”,Gustuff将向Web视图添加一个JavaScript接口,允许执行恶意代码中定义的方法。

图10.JavaScript脚本编制

默认情况下,Web视图对象可以访问文件系统,允许攻击者执行各种脚本来实现任务的自动化,尤其是当脚本还可以访问来自应用程序的命令时。

结论

Gustuff是一种仍在持续不断更新升级的安卓银行木马,其背后操控者此次更改了它的代码,以降低静态内存占用,这使得它更加难以被杀毒软件检测出来。

虽然它的主要目标仍然还是网银APP和加密货币钱包APP,但增加的一些目标应用程序表明,它背后的操控者或许正在探索该木马的其他用途。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6753101308208611844/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部